Если разрешить запуск файлов по маске *.lnk мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Да, это мы и получим, но вот только маленькая незадача не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows :)
Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker'a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker'ом отпал.
Прочитав статью , я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.
Системное администрирование / Настройка групповых политик ограниченного использования программ в Windows 7 | Gliffer
Комментариев нет:
Отправить комментарий